Россиян предупредили о новом Android-трояне Klopatra, используемом для атак на банки Европы

Специалисты Cleafy Threat Intelligence обнаружили на новое вредоносное ПО — Android-троян удалённого доступа Klopatra. Впервые он был зафиксирован в конце августа 2025 года. Хакеры сделали его частью масштабной кампании, направленной против пользователей финансовых приложений в странах Европы. Основными целями оказались клиенты банков в Италии и Испании, где уже скомпрометированы свыше 3000 устройств.

Klopatra выделяется среди аналогичных угроз уровнем технической реализации. Вредоносный код использует коммерческий защитный механизм Virbox, что крайне редко встречается в Android-малвари.

Разработчики трояна перенесли значительную часть его логики с Java на нативный код, что серьёзно усложняет анализ и мешает стандартным антивирусным системам зафиксировать вредоносную активность. Это же делает задачу обратного проектирования почти невозможной для большинства специалистов.

По сути, Klopatra представляет собой полноценный банковский троян с удалённым доступом. Он создаёт невидимую VNC-сессию, позволяя операторам управлять устройством жертвы. Одновременно запускаются динамические оверлеи, подменяющие интерфейс банковских приложений, чтобы перехватить логины и пароли.

Встроенные функции работы с системами доступности дают трояну возможность самостоятельно инициировать финансовые операции — без участия пользователя.

Исследование Cleafy выявило, что за Klopatra стоит организованная турецкоязычная группировка. Лингвистический анализ командных серверов, переменных и меток в коде подтверждает происхождение операторов. Более того, в журналах активности зафиксированы прямые пометки на турецком языке, указывающие на внутренние заметки и тестовые действия.

Эксперты отмечают крайне высокую скорость эволюции вредоносной программы. С марта 2025 года уже зафиксировано более 40 различных версий Klopatra, каждая из которых включает новые элементы защиты.

Последние сборки используют шифрование строк, сложные методы маскировки командного трафика и усовершенствованные механизмы получения прав на доступ к чувствительным функциям Android.

Сценарии атак также продуманы до мелочей. Операторы выбирают момент, когда устройство остаётся без присмотра — ночью, во время зарядки. Захватив экран, троян создаёт видимость отключённого смартфона, а в это время выполняет несанкционированные переводы, используя ранее украденные PIN-коды или графические ключи. Всё происходит в фоновом режиме, а пользователь обнаруживает пропажу средств только наутро.